دبي، الإمارات العربية المتحدة، 28 أكتوبر 2018: كشفت بالو ألتو نتوركس، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، عن قيام عصابة كوبالت الإلكترونية بشن مجموعة جديدة من الهجمات الإلكترونية معتمدة على أساليب متنوعة مثل رسائل البريد الإلكتروني والثغرة الأمنية الموجودة في مايكروسوفت أوفيس.
ومن السهل جداً اليوم أن يقوم أحد مجرمي الإنترنت باستخدام طرائق هجوم بدائية يصعب تتبعها، وبرمجيات ضارة يقوم بنشرها بطرق معينة للبقاء بعيداً عن أنظمة أمن المعلومات التي يمكن أن تكشف ضلوعه بأي هجوم إلكتروني. ويتمثل أحد أكثر أساليب الهجوم شيوعاً في استخدام رسائل البريد الإلكتروني التصيّدية التي توظّف الهندسة الاجتماعية للوصول إلى أهدافها، أو من خلال هجمات استغلال شائعة الاستخدام (مثل ثغرة CVE-2017-0199 في مايكروسوفت أوفيس، وأدوات بناء الهجمات ThreadKit)، وذلك بهدف خداع موظفي المؤسسات المُستهدفة. وبمجرد نشر العدوى الأولية، ينتقل المهاجم إلى أساليب هجوم أكثر تطوراً، ويقوم بنشر برمجيات وأدوات متقدمة، فضلاً عن استخدام أدوات استغلال البرمجيات القائمة (مثل هجمات المنفذ الخلفي PowerShell في نظام ويندوز أو أدوات مثل CMSTP أو Regsvr32).
مثل هذه الأساليب تجعل من الصعب على صائدي التهديدات الأمنية العثور على الهجمات وكأنها مجموعة من الأبر في كومة قش، وهم بحاجة لاكتشافها بهدف تحديد نوع الحملة الخبيثة وأهدافها. لكن حتى إن كان المهاجم يستخدم أدوات هجوم بدائية يصعب اكتشافها، فهناك دائماً فرصة متاحة للتعرف على إشارات أو خصائص محددة لأي هجوم تساعد بدورها على تحديد بنية الجهة الفاعلة وبالتالي تتبعها. واحدة من المجموعات الإجرامية المعروفة باتباع مثل هذه الأدوات والتقنيات والإجراءات TTPs هي عصابة كوبالت أو Cobalt Gang، التي لاتزال نشطة حتى بعد اعتقال رئيس العصابة المزعوم في إسبانيا هذا العام.
وقد رصدت شركة بالو ألتو نتوركس عبر ذراعها الأمنية (الوحدة 42) خلال شهر أكتوبر 2018 حملات جديدة لعصابة كوبالت وأنشطة خبيثة لها تطال تستهدف العديد من المؤسسات حول العالم.
وقد تمكّنت شركة بالو ألتو نتوركس من تحديد مصمّمي برمجيات الماكرو الشائعة، بالإضافة إلى الوصول إلى بيانات وصفية لمستندات محددة يتم استخدامها، وهو ما سمح لها بتتبع وتحديد الأنشطة والبنية التحتية الجديدة المقترنة بعصابة كوبالت.
ومن خلال التركيز على جوانب محددة يتصف بها مصمّمو برمجيات الماكرو، بالإضافة إلى الوصول إلى البيانات الوصفية التي تتركها الجهات المهاجمة خلفها، تمكّنت شركة بالو ألتو نتوركس من تطوير آليات جديدة تساعد على تعقّب وملاحقة الأنشطة والبنية التحتية التي تقوم بها عصابة كوبالت باتباعها.
يُذكر أن كافة عملاء شركة بالو ألتو نتوركس يحصلون على حماية كاملة ضد هجمات عصابة كوبالت.
